Размещение средств атаки
Оригинал: Stage Capabilities
Злоумышленники могут загружать, устанавливать или иным образом настраивать средства, которые могут использоваться при атаке на цель. Для поддержки своих операций злоумышленнику может потребоваться взять средства, которые он разработал (Разработка средств для атаки) или получил (Получение средств для атаки), и разместить их на подконтрольной инфраструктуре. Такие средства могут размещаться на инфраструктуре, ранее купленной или арендованной злоумышленником (Получение инфраструктуры), либо на инфраструктуре, которую он скомпрометировал иным способом. Средства также могут размещаться в веб-сервисах, таких как GitHub, в реестрах моделей, таких как Hugging Face, или в реестрах контейнеров.
Злоумышленники могут размещать различные ИИ-артефакты, включая отравленные наборы данных (Публикация отравленных наборов данных), вредоносные модели (Публикация отравленных моделей) и промпт-инъекции. Они могут использовать названия легитимных компаний или продуктов, применять тайпсквоттинг или использовать галлюцинированные сущности (Выявление галлюцинированных сущностей LLM).
Тактики
Примеры процедур из кейсов
Исследователь разместил этот промпт на веб-странице, чтобы ChatGPT мог получить его при обращении к странице.
AML.CS0041Бэкдор в файле правил: атака на цепочку поставки ИИ-ассистентов для программированияИсследователи разместили вредоносный JavaScript-файл на публично доступном сайте.
AML.CS0045Эксфильтрация данных через MCP-сервер, используемый CursorИсследователи создали сайт, содержащий вредоносный промпт.
AML.CS0045Эксфильтрация данных через MCP-сервер, используемый CursorИсследователи запустили веб-сервер для приема данных, эксфильтрированных из среды жертвы.
AML.CS0050Удаленное выполнение кода (RCE) в OpenClaw в один кликИсследователь разместил вредоносный скрипт на неприметном сайте.
AML.CS0051Использование OpenClaw для командования и управления через промпт-инъекциюИсследователи разместили на своем сайте промпт-инъекции, вредоносный скрипт и TODO-список со своими командами.
AML.CS0055AI ClickFix: захват управления computer-use-агентами с помощью ClickFixИсследователь разместил сайт и скрипт. На практике вредоносный HTML можно было бы внедрить в скомпрометированный легитимный сайт.
AML.CS0057Storm-2139: обход защитных ограничений Azure OpenAIStorm-2139 подготовила и эксплуатировала сервис обратного прокси, чтобы другие злоумышленники могли взаимодействовать с неправомерно используемыми сервисами генеративного ИИ.
AML.CS0059EchoLeak: промпт-инъекция нулевого клика против M365 Copilot для эксфильтрации данныхИсследователи подготовили веб-эндпоинт, контролируемый злоумышленником, для приема исходящих запросов с закодированными конфиденциальными данными. Эндпоинт служил точкой сбора для канала эксфильтрации.
AML.CS0061AI in the Middle: веб-сервисы ИИ как ретрансляторы C2Исследователи разместили внешне безобидное содержимое, одновременно возвращая данные, которые имплант мог интерпретировать как C2-инструкции.